VLC: une faille de sécurité décelée dans le célèbre lecteur multimédia

Il recommande d'éviter l'utilisation de VLC tant qu'aucun correctif ne lui aura été apporté. Le centre de réponse aux cyberattaques du gouvernement allemand, le CERT-Bund, indique avoir repéré une faille critique dans le très populaire lecteur multimédia, qui compte à son actif plus de trois milliards de téléchargements.

La faille en question permet d'exécuter du code à distance, sans être repéré. Elle concerne la version 3.0.7.1 du logiciel.

"Un attaquant distant et anonyme peut exploiter une vulnérabilité dans VLC pour exécuter du code arbitraire, créer un état de déni de service, divulguer des informations ou manipuler des fichiers", avertit l'agence de sécurité allemande. 

L'agence précise néanmoins qu'aucun cas d'exploitation de cette faille n'a à ce jour été décelé. En juin déjà, la version VLC 3.0.6 avait été victime d'une faille de sécurité, bien que d'un échelon moins grave.

L'équipe VLC indique travailler au déploiement d'un correctif. Aucune date de sortie n'a été annoncée pour ce patch. Dans une série de tweets publiés le 24 juillet, VideoLAN dément néanmoins l'existence d'une telle vulnérabilité, en indiquant que le problème souligné a en réalité été réglé il y a près d'un an et demi.

Pour rappel, VLC peut lire pratiquement tous les formats audio et vidéo ainsi que les flux réseau proposés pour les WebTV. En fin d'année dernière, sur le plateau de BFM Business, Jean-Baptiste Kempf, fondateur et président de VideoLAN, avait précisé qu'il s'agissait du "logiciel français le plus utilisé au monde".